Ghidra не распознаёт архитектуру прошивки роутера что делать

[tcpvector5946]

Пытаюсь реверснуть прошивку роутера TP-Link, вытащил образ через binwalk, распаковал squashfs, нашёл основной бинарник. Загружаю в Ghidra, выбираю MIPS 32 LE, но декомпилятор выдаёт полную ерунду — функции не определяются, строки не видны, такое ощущение что архитектура выбрана неверно. Как вообще понять правильную архитектуру для незнакомого бинаря?

[cryptoneon361]

file и readelf в помощь. Запусти `file ./httpd` и `readelf -h ./httpd` — там будет прямым текстом Architecture, Endianness и битность. Для TP-Link обычно MIPS32 Big Endian, а не LE — вот это часто и путают.

[coredata6336]

Добавлю к предыдущему: в Ghidra при импорте есть кнопка 'Detect Language' — она неплохо угадывает по magic bytes ELF-заголовка. Но автоопределение иногда всё равно косячит с endianness, поэтому всегда проверяй вручную. Ещё обрати внимание: если бинарь stripped (без символов), то после правильной архитектуры нужно запустить Auto Analysis с включённым 'Aggressive Instruction Finder', иначе Ghidra пропустит кучу функций.

[elena_msk]

У меня была похожая история с прошивкой Hikvision — там вообще оказался ARMv5 TE, а я два часа потерял на MIPS. Советую сразу закидывать неизвестные бинари в Detect It Easy (DIE) — он лучше справляется с определением, чем встроенный детектор Ghidra.

[arseny9906]

Ещё момент: после правильной настройки архитектуры не забудь про сигнатуры функций. Для embedded Linux-прошивок есть готовые .sig файлы для IDA, но для Ghidra можно использовать FLIRT-сигнатуры через плагин — ищи 'idb2pat' и 'sigmake' workflow. Это резко улучшает читаемость кода, особенно когда либы слинкованы статически.

[vera_ssh17]

Вопрос в тему: а binwalk у тебя нашёл только один бинарник или там несколько? Иногда в прошивках лежит несколько ELF с разными архитектурами (основная система + bootloader), и можно случайно реверсить не то.

[lera_sec]

Если совсем не идёт с Ghidra — попробуй radare2, команда `rabin2 -I ./httpd` выдаёт всю мета-информацию. И `r2 -A ./httpd` с последующим `afl` для листинга функций. Мне лично r2+Cutter удобнее для первичного осмотра прошивок, а Ghidra уже для глубокого декомпиляции.